In Berichten wie dem Data Breach Investigations Report (DBIR) von Verizon aus dem Jahr 2022 wird der Mensch als zentrale Komponente in 82 % der Cyberangriffe genannt. Betrüger nutzen Techniken, die auf Social Engineering basieren, um Menschen dazu zu bringen, Handlungen auszuführen, die einem Hacker nützen.
Social Engineering ist ein Oberbegriff für viele Taktiken, mit denen Mitarbeiter und andere Nutzer manipuliert werden. Im Folgenden finden Sie sechs der gängigsten Social-Engineering-Typen und erfahren, wie Sie verhindern können, dass Hacker sie in Ihrem Unternehmen erfolgreich ausnutzen.
Sechs der häufigsten Social-Engineering-Angriffe
1. Phishing und Social Engineering
Spear-Phishing, eine gezielte Form des Phishings, ist laut dem DBIR 2018 in 93 % der Cyberangriffe verwickelt . Die weniger gezielte Form des Phishings ist laut Cisco immer noch die zweithäufigste Taktik bei Cyberangriffen.
Phishing ist das perfekte Medium, das es Hackern ermöglicht, Menschen zu manipulieren, und fällt daher unter den Begriff Social Engineering. Phishing tritt in verschiedenen Formen auf. Bereits erwähnt wurden Phishing und Spear-Phishing, aber Hacker nutzen jedes Kommunikationsmittel, einschließlich Textnachrichten und Telefonanrufe (SMShing und Vishing), um Menschen dazu zu bringen, auf einen Link zu einer bösartigen Website zu klicken, persönliche Daten anzugeben oder einen infizierten Anhang herunterzuladen.
2. Soziale Medien für Social Engineering
Soziale Medien sind eine wahre Goldgrube an Informationen, die Cyberkriminelle nutzen können, um Menschen, Anwendungen, Netzwerke und Daten anzugreifen: Betrüger benötigen Daten, um Cyberangriffe durchzuführen, einschließlich Business Email Compromise (BEC).
Wenn Mitarbeiter oder andere Personen Informationen über soziale Medien weitergeben, werden Betrüger sie beobachten. Einem Forschungsbericht zufolge haben Unternehmen mit den folgenden Problemen zu kämpfen, wenn Mitarbeiter Informationen in sozialen Medien teilen:
- Weitergabe von zu vielen Informationen
- Verlust von vertraulichen Informationen
- erhöhte Anfälligkeit für Rechtsstreitigkeiten
Das Papier kommt zu dem Schluss, dass soziale Medien ein offenes Medium für den Austausch darstellen, das die Herausforderungen des Social Engineering erschwert.
3. Tailgating und Huckepack
Tailgating ist einer der ältesten Social-Engineering-Betrügereien, die es gibt. Tailgating, oder Huckepack, wird oft als physischer Betrug angesehen, kann aber auch digital sein. In der physischen Welt wird das Tailgating durch den Betrüger veranschaulicht, der sich unbemerkt in das Bürogebäude eines Unternehmens schleicht. Betrüger wissen, wie sie unauffällig aussehen können, so dass sie sich unbefugt Zugang zu einem Gebäude verschaffen oder jemanden "huckepack" nehmen können, der ein Gebäude betritt.
Wenn sie erst einmal drin sind, können sie Mitarbeiter dazu verleiten, Zugangsdaten wie Passwörter weiterzugeben, oder sie verwenden Hacking-Tools, um Daten direkt von Computern zu stehlen. Sie können sogar den alten Trick anwenden, jemandem über die Schulter zu schauen, der in einem sensiblen Bereich des Netzwerks angemeldet ist.
4. Vorwände
Betrüger benötigen oft Daten, um einen erfolgreichen Social-Engineering-Betrug durchzuführen. Wie bereits erwähnt, kann der Hacker Informationen sammeln, um eine Person mithilfe von sozialen Medien, Phishing und Tailgating auszutricksen. Pretexting nutzt Social Engineering, um Menschen glauben zu machen, dass der Betrüger eine Autoritätsperson ist oder berechtigt ist, sich an einem bestimmten Ort aufzuhalten: Mit anderen Worten, der Betrüger gibt sich als jemand anderes aus.
So können sie sich beispielsweise als Auftragnehmer oder leitender Angestellter ausgeben. Dies mag unwahrscheinlich erscheinen, aber ein überzeugter Betrüger kann dies in einem großen Unternehmen mit mehreren Niederlassungen erreichen.
5. Köder
Menschen lieben Gratisprodukte, und dieses Verhalten wird ausgenutzt, um Mitarbeiter zur Herausgabe von Informationen wie sensiblen Daten oder finanziellen Details zu verleiten. Der Betrüger wählt beispielsweise einen Mitarbeiter aus oder sendet eine Massen-E-Mail, in der ein kostenloses Produkt, z. B. ein Film-Download, angeboten wird. Wenn der Angestellte auf die Schaltfläche zum Herunterladen drückt, ist das Ergebnis ein infiziertes Gerät.
Dies ist eine effektive Methode zur Installation von Malware. Ein Beispiel dafür ist die Raubkopie von Game of Thrones, die 2018 die am häufigsten mit Malware infizierte Fernsehserie aller Zeiten war. Insgesamt wurden 126.340 Nutzer mit Malware infiziert, als sie die Raubkopie der Fernsehserie herunterluden.
6. Quid Pro Quo
Quid Pro Quo ist eine lateinische Redewendung (dies für das), die einen Austausch von etwas gegen Waren oder Dienstleistungen beschreibt. Cyberkriminelle wollen Daten, und ein Quid Pro Quo ist eine Möglichkeit, an diese Daten zu gelangen.
Ein typischer Quid Pro Quo-Angriff würde folgendermaßen ablaufen: Ein Mitarbeiter erhält einen Anruf vom "technischen Support", der ihm mitteilt, dass ein Ransomware-Angriff im Gange ist und er den Virus entfernen muss, bevor er die Arbeit des Mitarbeiters beschädigt. Dazu benötigt der Hacker den Benutzernamen und das Passwort des Mitarbeiters. Fällt der Angestellte auf diesen Trick herein, erhält der Hacker Zugang zum Unternehmensnetzwerk, den er nutzen kann, um seine Privilegien auf sensiblere Bereiche auszuweiten.
Drei Wege zum Schutz Ihrer Mitarbeiter vor Social Engineering-Angriffen
1. Einführung von Prozessen und Politiken
Oft müssen sich Social Engineers auf mangelhafte Prozesse verlassen, die es ihnen ermöglichen, Sicherheitslücken auszunutzen. Beim "Tailgating" zum Beispiel kann der Eindringling darauf angewiesen sein, dass die Personen, die ein Gebäude betreten, nicht kontrolliert werden. Social Engineers verlassen sich oft auf das Vertrauen in Autoritätspersonen, um einen Mitarbeiter zu einer Handlung zu bewegen, z. B. zu einer Geldüberweisung, wie bei einem BEC-Betrug.
Die meisten Social-Engineering-Betrügereien benötigen Daten. Daher nutzen die Betrüger soziale Medien oder Phishing, um an die Informationen zu gelangen, die sie für einen Cyberangriff benötigen. Robuste Prozesse, die bei jeder Aktion, wie z. B. Geld- oder Datentransfers, zusätzliche Kontrollen vorsehen, können helfen, Social-Engineering-Angriffe zu verhindern. Richtlinien, die sicherstellen, dass Mitarbeiter nicht zu viel auf Social-Media-Plattformen preisgeben, helfen, diese Form des Datenabgriffs zu vermeiden.
2. Schulung der Mitarbeiter in Social-Engineering-Taktiken
Social Engineering gibt es in vielen Formen, und die Cyberkriminellen, die hinter Social-Engineering-Angriffen stecken, passen diese Maschen an, um nicht entdeckt zu werden. Daher sollten Schulungspakete zum Sicherheitsbewusstsein auch Schulungen zu Social-Engineering-Tricks enthalten, einschließlich der sechs oben beschriebenen Betrügereien.
Die Schulung muss ansprechend gestaltet sein und Schulungsmodule enthalten, die interessant, unterhaltsam und informativ sind.
Die Security-Awareness-Plattform sollte auch Möglichkeiten zur Erfassung der Erfolgsquote eines Schulungspakets bieten, damit Ihr Unternehmen die Schulungen aktualisieren und anpassen kann, um die bestmöglichen Ergebnisse zu erzielen. Die Schulung der Mitarbeiter zur Erkennung von Social-Engineering-Angriffen sollte regelmäßig durchgeführt werden, um Änderungen der Bedrohungsmuster zu erfassen.
3. Simulierte Phishing-Programme verwenden
Phishing ist eine der Haupttechniken, auf die sich viele Social-Engineering-Angriffe stützen. Das Erkennen der verräterischen Anzeichen einer Phishing-E-Mail oder einer anderen Phishing-Nachricht ist eine wichtige erste Verteidigungslinie gegen Social-Engineering-Angriffe.
Phishing-Simulationssoftware bietet Vorlagen, die auf aktuelle Social-Engineering-Tricks zugeschnitten werden können. Diese werden dann wie üblich an Mitarbeiter und andere Geschäftspartner verschickt. Wenn ein Benutzer auf einen bösartigen Link klickt oder einen Anhang herunterlädt, schaltet sich die simulierte Phishing-Plattform mit einer Lektion darüber ein, was passieren würde, wenn er diese Aktion fortsetzt.
